Per què el perímetre va morir?
Durant dècades, la seguretat IT va operar sota un model simple: tot allò que és dins la xarxa és de confiança. Firewalls al perímetre, VPNs per a l'accés remot i la presumpció que els atacants estaven sempre fora.
Aquest model té un problema fonamental: si l'atacant aconsegueix entrar, té accés a tot. Els atacs moderns exploten exactament aquesta debilitat:
- Credencials compromeses mitjançant phishing
- Moviment lateral per la xarxa interna
- Exfiltració de dades durant setmanes o mesos sense detecció
El principi "Never Trust, Always Verify"
Zero Trust es basa en tres pilars:
- Verificar sempre — No assumir confiança per ubicació de xarxa
- Mínim privilegi — Només l'accés necessari, en el moment necessari
- Assumir la bretxa — Dissenyar com si l'atacant ja fos a dins
Components clau
Identity Provider (IdP)
L'IdP és el cor de Zero Trust. Tota autenticació hi passa. Solucions: Okta, Azure AD, Keycloak (codi obert).
Microsegmentació
En lloc de xarxa plana, segments amb controls granulars. Un servidor web compromès no pot comunicar-se amb la base de dades sense una regla explícita.
Model de maduresa CISA
| Pilar | Tradicional | Avançat | Òptim |
|---|---|---|---|
| Identitat | MFA bàsic | MFA adaptatiu | Anàlisi contínua |
| Dispositius | Inventari | EDR | Confiança dinàmica |
| Xarxes | VPN | Microsegmentació | ZTNA complet |
| Dades | Classificació | DLP | Xifratge ubic |
Conclusió
Zero Trust no és un producte. És un canvi de paradigma: la identitat és el nou perímetre. Comença per MFA universal i mínim privilegi per obtenir el major impacte.